Types de cyberattaques les plus courantes contre les utilisateurs privés et comment s'en protéger :

Types de cyberattaques les plus courantes contre les utilisateurs privés et comment s'en protéger : partie 2

https://www.statista.com/statistics/494947/ransomware-attacks-per-year-worldwide/ 

Dans l'article de la semaine dernière, nous avons parlé des cyberattaques informatiques utilisant le phishing, le cryptojacking et le modèle MITM (man in the middle).

Dans cet article, nous allons voir quels types de logiciels malveillants existent et comment les pirates les utilisent pour voler des informations et de l'argent.

Avant de commencer, regardez quels secteurs sont le plus souvent attaqués par les pirates informatiques.

https://www.statista.com/statistics/223517/malware-infection-weekly-industries/ 

Les logiciels malveillants

La protection des informations contre le piratage faiblit fortement à cause des pirates informatiques qui diffusent des logiciels malveillants par le biais d'e-mails ou de messageries. Généralement, ils incluent dans ce dernier un texte d'accompagnement indiquant qu'ils ont un gros gain, un héritage inattendu ou autre chose qui incitera la personne à télécharger et à ouvrir le fichier dans l'e-mail ou à cliquer sur le lien. 

Et le fichier joint peut contenir un virus (autrement dit c’est une cyberattaque sur ordinateur personnel). Même si le fichier semble sûr et ne ressemble pas à une obscure archive .rar, il peut contenir un virus. Par exemple, les hackers ajoutent du VBScript (Visual Basic for Applications), un type de langage de programmation de MS Office, aux documents Word.

Lorsqu'un utilisateur ouvre un document, Office lui demande d'exécuter les scripts (autrement dit une action de cyberattaques contre les utilisateurs ordinaires s’est produite). Si la personne les exécute, MS Office télécharge et installe un logiciel malveillant sur l'appareil du client à partir du site Internet d'un attaquant. Le logiciel s'exécutera sur le PC, analysera le réseau et le stockage local à la recherche de fichiers et volera, compromettra ou cryptera divers fichiers.

Une autre variante est l'infection via des fichiers LNK, appelés raccourcis de fichiers. Windows les utilise comme un lien vers le fichier source. Ce fichier de raccourci contient des informations sur le nom du dossier, son emplacement et le programme qui peut l'ouvrir. 

Les fichiers LNK des attaquants contiennent des scripts VBScript ou Powershell malveillants. Cette méthode permet de contourner les systèmes de sécurité de Windows (système de protection contre les cyberattaques) et d'infecter les PC.

PowerShell est un moteur spécial de Windows qui permet de :

• Modifier les paramètres du système d'exploitation.

• Gérer les services et les processus.

• Configurer les rôles et les composants du serveur.

• Installer des logiciels.

Modèles de distribution des logiciels malveillants 

Dans ce cas, la diffusion ressemble à ceci :

• Tout d'abord, une personne reçoit un e-mail de phishing auquel est jointe une archive ZIP. Le fichier ZIP contient un raccourci .LNK.

• Le .LNK exécute ensuite un script Powershell qui charge une DLL malveillante avec un chargeur malveillant. 

• Le chargeur alloue une zone de mémoire où la DLL est chargée et où une ressource spécifique est décryptée.

Il existe plusieurs types de logiciels malveillants. Nous allons vous parler de chacun d'entre eux.

Rootkit

Un rootkit est un logiciel malveillant qui peut contrôler à distance l'ordinateur d'une victime, sans être détecté par l'utilisateur ou l'antivirus. 

Si une personne installe un rootkit, le pirate peut lancer des fichiers à distance et les voler, installer d'autres logiciels malveillants et contrôler l'ordinateur dans le cadre d'un botnet. Il peut également modifier des logiciels, y compris ceux capables de détecter le rootkit. 

Spyware

Les spywares surveillent furtivement les activités des utilisateurs. Ils peuvent collecter des données sur les actions de ceux-ci, lire les frappes au clavier et recueillir des informations sur les comptes d'utilisateurs, les identifiants, les mots de passe et les informations financières.

Comme les rootkits, les spywares peuvent souvent modifier les paramètres de sécurité des PC ou des navigateurs. Ils sont généralement diffusés conjointement avec des chevaux de Troie, en utilisant des techniques d'ingénierie sociale ou de phishing.

L'ingénierie sociale est un moyen d'obtenir des informations confidentielles d'un utilisateur par la manipulation psychologique. Ces informations sont utilisées pour retirer de l'argent d'une carte bancaire, prendre le contrôle des comptes d'une victime ou la forcer à faire quelque chose.

En novembre 2021, un rapport de Zimperium zLabs a révélé l'existence de l'application d'espionnage PhoneSpy en provenance de Corée du Sud. Ce logiciel malveillant ciblait les appareils Android. Il était déguisé en une application ordinaire, telle qu'une machine à yoga ou un messenger. Et il s'est propagé à l'aide de ressources de phishing.

Lorsqu'une personne installait l'application, le logiciel espion activait le contrôle à distance et volait des informations sur les appareils. Voici ce qu'ils ont fait avec les téléphones via PhoneSpy :

• Volé les identifiants de connexion aux comptes, photos, listes de contacts, journaux d'appels et messages.

• Capturé des vidéos et des photos à l'aide des caméras avant et arrière de l'appareil.

• Téléchargé des fichiers et des documents à partir d'un serveur de commande et de contrôle (C&C) contrôlé par des hackers.

• Examiné les informations des appareils : IMEI, marque, nom de l'appareil et version d'Android.

On estime que PhoSpy a infecté plus de 1 000 appareils Android.

Trojan Horse (Cheval de Troie)

Les chevaux de Troie sont un type de logiciels malveillants qui s'infiltrent dans un ordinateur sous l'apparence d'une application ordinaire et sécurisée. Il crée un sentiment de sécurité, un peu comme le cheval de Troie présenté aux citoyens de Troie. 

Contrairement aux virus et aux vers, qui se propagent spontanément, un cheval de Troie ne peut capturer des informations qu'après avoir été installé par un utilisateur. Lorsque les gens les téléchargent et les installent, ils peuvent donner à l'attaquant un accès à distance au PC d'une personne, voler des informations (logins, données financières, voire argent électronique) ou installer des applications encore plus virales. 

Une analyse technique détaillée du fonctionnement du virus, des codes et des commandes système qu'il utilisait a été indiquée dans la sécurité de Microsoft. Voici un schéma de la façon dont tout cela a fonctionné.

Virus

Un virus est un autre type de logiciel malveillant qui peut se répliquer et se propager à d'autres ordinateurs. Ils peuvent par exemple se propager via des documents, des scripts internet ou des applications. Ils sont utilisés pour voler des informations et de l'argent, créer des réseaux de zombies, faire du minage furtif, etc.

Un exemple amusant d'attaque de virus est celui de Melissa. En 1999, un virus a infecté des milliers d'ordinateurs dans le monde entier. Il s'est propagé par courrier électronique avec une pièce jointe malveillante au format .doc.L'e-mail était intitulé "message important de" et contenait le texte suivant : « Voici le document que vous avez demandé. Ne le montrez à personne ». La pièce jointe au fichier .doc contenait une liste de matériel pornographique. Le virus a ensuite envoyé automatiquement des messages similaires aux cinquante premières personnes de la liste de contacts de l'utilisateur et a désactivé plusieurs fonctions de sécurité dans Microsoft Word et Microsoft Outlook.Le virus n'a pas nui aux utilisateurs ordinaires, mais il a ralenti les systèmes de messagerie en surchargeant les serveurs Microsoft Outlook et Microsoft Exchange.

Worm (Ver) 

Les vers sont l'un des types de logiciels malveillants les plus répandus. Ils se propagent et transmettent leurs copies à travers les réseaux informatiques grâce aux vulnérabilités des systèmes d'exploitation. Ils sont généralement utilisés pour endommager les réseaux hôtes en surchargeant la bande passante et les serveurs. Parfois, les vers informatiques contiennent des morceaux de code qui permettent de voler des données dans les ordinateurs, de supprimer des fichiers ou de créer des réseaux de zombies.

Le mécanisme par lequel les vers se propagent peut être divisé en deux groupes :

• La propagation par les vulnérabilités et les erreurs d'administration des logiciels informatiques. Ces vers peuvent se propager automatiquement en sélectionnant et en attaquant des ordinateurs de manière indépendante.

• Propagation par l'ingénierie sociale, où un hacker trompe une personne pour qu'elle exécute un logiciel malveillant. De tels vers se propagent souvent par le biais de courriers indésirables, de réseaux sociaux, etc.

Il existe une autre classification des vers en fonction du mécanisme de propagation :

• Email-Worm : se propage par le biais des e-mails.

• IM-Worm : un ver qui se propage via Facebook, Skype ou WhatsApp et autres messengers.

• IRC-Worm : un logiciel qui se propage via les canaux IRC (Internet relay chat). L'IRC est un protocole qui permet aux utilisateurs de se connecter à un serveur via un client spécial, d'accéder à des canaux (salons de discussion) et d'échanger des messages en temps réel en tapant sur le clavier. 

• Net-Worm : pour ces vers, aucun utilisateur n'est nécessaire comme maillon de la chaîne de distribution.

• P2P-Worm : se propage via des réseaux de partage de fichiers de pair à pair (tels que Kazaa, Grokster, EDonkey, FastTrack, Gnutella.

Statistiques sur le nombre de différents types de vers pour 2007

Le ver ILOVEYOU, qui s'est déguisé en lettre d'amour et s'est propagé par courrier électronique, est un exemple de ce type d'attaque. L'e-mail contenait une pièce jointe contenant un fichier texte et un script VBS. Lorsqu'une personne ouvrait l'e-mail, le script s'exécutait et volait les mots de passe de l'utilisateur dans divers services.ILOVEYOU est considéré comme l'un des premiers cas d'ingénierie sociale utilisés dans des attaques de logiciels malveillants. Une fois lancé, il pouvait être automatiquement envoyé par courriel aux contacts de la victime.Le virus a infecté plus de 45 millions de personnes et causé plus de 15 milliards de dollars de dommages.

Attaques par ransomware

Un ransomware est un type de logiciel malveillant qui bloque l'accès à un ordinateur ou crypte certaines données. Les victimes sont ensuite invitées à payer une rançon pour remettre leur ordinateur en état de marche.

Plusieurs centaines de millions d'attaques de ce type se produisent chaque année, selon l'analyse de Statista.

La plupart de ces attaques sont lancées via un courriel contenant des liens malveillants vers le site internet de l'attaquant. Parfois, les utilisateurs suivent le lien et téléchargent eux-mêmes le logiciel malveillant. Parfois aussi, l'e-mail contient une pièce jointe avec un fichier malveillant qui télécharge le ransomware dès que l'utilisateur l'ouvre.

Il existe deux types de ransomware, et nous allons vous parler de chacun.

Avec une demande de rançon

Ce type de virus bloque les fonctions de base du PC, par exemple en désactivant partiellement la souris et le clavier ou en limitant l'accès au bureau. Et cet état persistera jusqu'à ce que la personne transfère une rançon sur le compte des pirates.

Les rançongiciels ne sont pas toujours dangereux car ils n'ont généralement pas pour objectif de voler des fichiers importants. Leur but est simplement de verrouiller l'appareil et d'attendre que la rançon soit transférée.

Logiciels de cryptage 

Leur objectif est de crypter des données importantes, comme des informations personnelles ou des photos, mais pas de perturber le PC. Dans ce cas, les pirates jouent sur la peur de la victime car elle voit les fichiers mais ne peut pas les contrôler.

En général, les fichiers sont cryptés avec l'algorithme AES et une clé de 128/196/256 bits. Une telle clé est pratiquement impossible à craquer par force brute. Certaines applications utilisent un système cryptographique à clé publique/privée tel que RSA. 

Pour en savoir plus sur le cryptage et son fonctionnement, consultez l'article « Qu'est-ce qu'un VPN et comment fonctionne-t-il ».

Lorsque les fichiers sont cryptés, l'utilisateur voit apparaître des pop-ups avec une demande telle que « si vous ne transférez pas l'argent dans l'heure, tous les fichiers cryptés seront supprimés ». Par conséquent, la personne devra transférer l'argent afin de ne pas perdre les fichiers.

Mais il n'y a pas non plus de garantie que le pirate déposera la clé de décryptage après avoir transféré l'argent. Il y a donc un risque que les fichiers restent cryptés pour toujours.

En 2017, un groupe de Shadow Brokers a distribué le ransomware WannaCry dans plus de 150 pays.Lorsque les utilisateurs ont reçu WannaCry, celui-ci a exploité une vulnérabilité du système d'exploitation et a verrouillé les ordinateurs des utilisateurs. Les victimes étaient invitées à payer une rançon en bitcoins pour le déverrouiller. Pendant la durée de vie du virus, environ 230 000 ordinateurs dans le monde ont été touchés, et les pirates ont réussi à voler environ 4 milliards de dollars.

​

Comment se protéger des logiciels malveillants et des ransomwares ?

Mettez à jour votre logiciel à la dernière version. Les éditeurs de logiciels sont toujours à l'affût des problèmes de sécurité et publient de nouvelles versions comportant moins ou pas de vulnérabilités.

Installez un antivirus. L'antivirus vous empêchera d'installer des logiciels malveillants et de cliquer sur des liens dangereux. Si une application malveillante vous est envoyée, l'antivirus bloquera le malware. 

Il en va de même pour un lien malveillant : votre antivirus le reconnaîtra et vous empêchera de cliquer dessus.

Mieux encore, ne téléchargez pas et n'exécutez pas de fichiers douteux. Après tout, certains virus peuvent ne pas être détectés par les antivirus comme étant malveillants jusqu'à ce qu'ils soient exécutés. Ils peuvent donc endommager un fichier important du système d'exploitation et perturber votre PC.

Vérifiez la source des liens. Ne cliquez pas sur les liens envoyés par des inconnus ou des amis sans texte d'accompagnement. Si vous recevez un lien au nom d'une personne que vous connaissez, contactez-la directement et demandez-lui ce qu'elle vous envoie. Il est possible que son compte ait été compromis et qu'on envoie du spam en son nom.

Vérifiez également les liens avec des services spéciaux comme AVG Threatlabs ou Kaspersky VirusDesk.

Certains antivirus bloquent les sites contenant des codes malveillants. Lorsqu'une personne essaie de visiter une telle ressource, l'antivirus bloque automatiquement le site.

Faites des sauvegardes régulières de votre système et de tous les fichiers importants. Vous pouvez sauvegarder vous-même vos fichiers sur un support physique ou dans le Cloud. Le cloud est une solution meilleure que les supports physiques car il est à l'abri des virus, des pannes et autres problèmes de ce type.

Vous pouvez également configurer des sauvegardes automatiques avec des services tiers tels que Redo Backup and Recovery, EASEUS Todo Backup Free ou Cobian Backup.

Mais n'oubliez pas que le cloud n'est pas non plus sûr à 100 %, des fuites de données peuvent également s'y produire.

Par exemple, en 2014, un pirate a envoyé des liens vers des sites de phishing où les utilisateurs lui donnaient leurs mots de passe pour différents services, dont iCloud.

En conséquence, des photos intimes et dénudées de Jennifer Lawrence, de Rihanna et de dizaines d'autres actrices et chanteuses célèbres ont été divulguées en ligne. Le pirate aurait réussi à dérober 300 comptes Apple iCloud et Gmail entre novembre 2013 et août 2014.

Une autre possibilité est que les serveurs cloud tombent en panne et que les informations (données bénéficiant d’une protection contre le piratage informatique ou d’une protection informatique internet) soient indisponibles pendant un certain temps.